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(57) Abstract 



The invention concerns a method and 
arrangement for protecting electronic com- 
puting units from undesired access. Ac- 
cording to the invention, the side of the 
unit (1) exposed to attack is provided with 
a casing (2) having inhomogeneous prop- 
erties. The unit (1) determines measured 
values at at least one set measuring point 
on the casing (2) when specific signals have 
been applied by the unit (1) to the casing 
(2) at a set signal-output point, a signature 
characteristic of an intact casing (2) at the 
time of the measurement being formed us- 
ing the measured values. 

(57) Zusammenfassung 

Die Erflndung betrifft ein Verfahren 
und eine Anordnung zum Schutz von 
elektronischen Recheneinheiten gegen 
unerwunschten Zugriff. ErfindungsgemaS 
ist vorgesehen, daB die einem Angriff 
ausgesetzte Seite der Einheit (1) mit 




einer Ummantelung (2) mit inhomogenen 
Eigenschaften versehen wird, daB von der 

Einheit (1) MeSwerte an zumindest einer festgelegten MeBstelle an der Ummantelung (2) ermittelt werden, nachdem an einer festgelegten 
Signalaufgabestelle an die Ummantelung (2) von der Einheit (1) definierte Signale angelegt wurden, und daB mit den MeBwerten eine fur 
eine unversehrte Ummantelung (2) zum Zeitpunkt der Vermessung charakteristische Signatur gebildet wird. 
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1 Verfahren und Anordnung zum Schutz von elektronischen Recheneinheiten, insbesondere 

von Chipkarten. 

5 Die Erfindung betrifft ein Verfahren gemafl dem Oberbegriff des Patentanspruches 

1. Des weiteren betrifft die Erfindung eine Anordnung gemali dem Oberbegriff des 
Patentanspruches 18. 

Bekannt ist der Schutz von Daten und Programmen, die in elektronischen Einheiten 
bzw. Schaltungen enthalten sind, durch Verschlusselung dieser Daten und Programme 

10 Oder durch elektrische und/oder mechanische, den Zugriff bzw. den Zutritt verhindernde 
SchutzmaGnahmen, wie z.B. Codekarten fur eine Zutrittsberechtigung bzw. die Anordnung 
derartiger Einheiten in Sicherheitsraumen usw.. Wird bei derartig gesicherten Einheiten der 
vorgesehene Schutz ausgeschaltet bzw. durchdrungen, so wird ein Ausspahen des 
gegebenenfalls verschlusselt enthaltenen Inhalts der elektronischen Einheiten mogiich. Als 

15 Beispiel wird dazu auf mit Codekarten gesicherte Turen von zutrittsgesicherten 
Rechenanlagen verwiesen. Bei einer Reihe von Recheneinheiten bzw. Datentragem, z.B. 
Chips auf Chipkarten, erfolgt eine Sicherung gegen ein Ausspahen von Daten und 
Programmen lediglich durch Verschlusselung dieser Daten; eine Sicherung gegen 
unerlaubten Zugriff zum Chip ist minimal oder nicht gegeben; bei einer Chipkarte ist ein 

20 mechanischer Zugriff auf die Daten bzw. deren Entnahme meist nach chemischer 
Entfernung der Kunststoffschicht mit einer durch eine vorhandene Passivierungsabdeckung 
des Chips durchgestochenen Tastnadel mogiich. 

Das wesentliche Ziel der Erfindung ist somit ein Schutz von elektronischen Einheiten 
gegen ein Ausspahen, insbesondere durch mechanische Manipulationen bzw. Angriffe 

25 jeglicher Art. Ein weiteres wesentliches Ziel der Erfindung ist es zu verhindern, dali selbst 
fur den Fall, dali mechanisch Zutritt zu der elektronischen Einheit erlangt wird, ein 
Ausspahen bzw. Auslesen und ein Weiterverwenden von Daten und/oder Programmen, die 
in der elektronischen Einheit enthalten sind und/oder ein ordnungsgemafier weiterer Betrieb 
dieser Einheit nach dem Zugriff unmoglich gemacht wird. Schlielilich ist es weiteres Ziel der 

30 Erfindung, mit einer derart geschutzten Einheit den Schutz von von dieser Einheit 
unabhangigen Gegenstanden zu erreichen. 

Diese Ziele werden bei einem Verfahren der eingangs genannten Art durch die im 
Kennzeichen des Anspruches 1 angefuhrten Merkmale erreicht. Bei einer Anordnung der 
eingangs genannten Art wird dieses Ziel durch die im Kennzeichen des Patentanspruches 

35 18 angefuhrten Merkmale erreicht. 

Grundlage fur die erfindungsgemafce Vorgangsweise ist eine Feststellung der 
Unversehrtheit der bei einem unerwunschten Zugriff zu der zu schutzenden elektronischen 
Einheit zu uberwindenden Ummantelung. Jede Verletzung bzw. Beschadigung der 
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1 Ummantelung durch eine mechanische Oder anders geartete Einwirkung beim Zugriff 
verandert unwiderruflich und unnachahmbar deren Eigenschaften, insbesondere deren 
elektrische Eigenschaften. Eine Verletzung der Ummantelung fuhrt dazu, dafc die Einheit 
nicht mehr ordnungsgemaB in Funktion gesetzt werden kann, weil die bei der Initialisierung 
5 der Einheit ermittelte Signatur zur Programmabarbeitung bzw. Entschlusselung der 
ursprunglich gespeicherten Daten und/oder Programmen benotigt wird nicht zur Verfugung 
steht und nicht mehr erstellt werden kann Oder weil die Einheit bei Feststellung einer sich 
gegenuber~der ursprunglich ermittelten Signatur veranderten Signatur ihre Funktion 
einstellt. Die Einheit ist durch die Ummantelung geschutzt bzw. befindet sich im Inneren der 

10 Ummantelung, und agiert von dieser geschutzten Lage aus. Jeder Versuch, mechanisch 
Zutritt zur Einheit zu erhalten, ist zum Scheitern verurteilt, da jeder Zugriff eine 
mechanische Beschadigung der Ummantelung bewirkt, sei es z.B. durch Anbringung von 
Offnungen Oder Versuche, die Schutzschicht zu penetrieren, wodurch es zu einer 
bleibenden Veranderung ihrer Eigenschaften und somit der Signatur kommt. Bei Anordnung 

15 einer entsprechenden Zahl von Signalaufgabestellen und Meftpunkten, z.B. in dem 
Ausmafc von jeweils vier Stellen bzw. Punkten je cm 2 , wird es bereits mit geringem 
Meftaufwand gut moglich, durch Nadelstiche auf dieser Flache von 1 cm 2 hervorgerufene 
Eigenschaftsanderungen der Ummantelung festzustellen. 

Aufgrund der erfindungsgema&en Vorgangsweise erhalt ein Eingreifer durch 

20 Manipulationen auf technisch-physikalischer Ebene, insbesondere durch mechanischen 
Angriff keine relevanten Informationen bezuglich der Daten und/oder Programme, die in 
der Einheit unter Verwendung der Signatur gespeichert vorliegen Oder abgearbeitet 
werden; dies insbesondere deshalb, da die bei der Initialisierung eingespeicherten Daten 
und/oder Programme mit der Signatur verschlusselt sind, diese Signatur aber 

25 vorteilhafterweise nicht abgespeichert wird. Somit ist bei jeder Inbetriebnahme die Signatur 
neu zu ermitteln, was erfolgreich nur moglich ist, solange die Ummantelung bezuglich ihrer 
vermessenen Eigenschaften invariant verbleibt. Besonders vorteilhaft ist eine derartige 
Vorgangsweise fur den Schutz von Chips, insbesondere VLSI-Chips, wie sie in Chipkarten 
enthalten sind. 

30 Prinzipiell ist es moglich, Mikroprozessoren, Recheneinheiten, Platinen oder auch 

beliebig groBe, diese Einheiten enthaltende Einrichtungen mit derartigen Schutzschichten 
bzw. Ummantelungen, gegebenenfalls auf Teilbereichen oder uber ihre gesamten 
Oberflachen zu versehen. Die geschutzten Einheiten stehen lediglich uber die zum 
Datentransfer vorgesehenen Ubertragungseinheiten, z.B. Leitungen, Antennen, Sender fur 

35 Magnetimpulse oder elektrische Impulse, Datenleitungen usw. mit externen elektronischen 
Einrichtungen in Verbindung. Zur Ermittlung der Signatur bzw. zur Feststellung der 
Unversehrtheit der Ummantelung oder zur Uberprufung der Signatur bzw. zur gewunschten 
Verwendung der Signatur wahrend des Betriebs der Einheit, sind in der Einheit 
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1 entsprechende Daten und/oder Programme a priori gespeichert enthalten bzw. bei der 
initialisierung zumeist mit der Signatur verschiusselt eingespeichert worden, die eine 
entsprechende Funktion der Einheit gewahrieisten, jedoch ohne von aufien her bei dieser 
Tatigkeit beeinfluBt werden konnen. 

5 Das vorliegende Verfahren verhindert zwar nicht einen mechanischen bzw. 

gewaltsamen Zutritt bzw. Zugriff zu den elektronischen Einheiten oder ein Abfuhlen des 
Inhaltes dieser Einheiten, jedoch wird das Gewinnen von "brauchbaren" Informationen bei 
der Attacke ganzlich verhindert; das Resultat dieser die Signatur selbst unwiderruflich 
abandernden Attacke ist es, daft aufgrund der geanderten Signatur bzw. nicht mehr 
10 ordnungsgemaS erfolgenden Entschlusselung der gespeicherten Daten und/oder 
Programme ein Fehlverhalten der Einheit eintritt und diese Einheit somit vollig unbrauchbar 
geworden ist. 

Die Signatur der Ummanteiung ist nicht nachbildbar, da die bei der Initialisierung 
ermittelte ursprungliche Signatur nicht bekannt und vorteilhafterweise auch nicht 
15 gespeichert ist und auch die bei einer Verletzung der Ummanteiung hervorgerufenen 
Anderungen der Signatur nicht erkannt werden konnen. Des weiteren konnen die dem 
initialen Ermittlungsverfahren fur die Signatur zugrundeliegenden Daten und Parameter der 
Einheit nicht ausgelesen werden, da programmafcig Vorkehrungen gegen ein derartiges 
Auslesen vorgesehen werden konnen und ferner eine Entschlusselung der gespeicherten 
20 Daten nur bei Kenntnis der ursprunglichen, bei der Attacke aber veranderten, Signatur in 
richtiger Weise erfolgen konnte. Fur den Fall aber, dafJ die Signatur durch einen 
mechanischen Eingriff in nicht behebbarer und nicht nachahmbarer Weise abgeandert 
worden ist, sind allerdings die gespeicherten Daten und Programme unwiderruflich verloren. 
Es ist zwar moglich, die Einheit, soferne sie durch den Zugriff nicht Schaden erlitten hat, 
25 als Bauteil weiterzu verwenden bzw. neu zu initialisieren bzw. zu programmieren; die in ihr 
enthaltene Funktion bzw. enthaltenen Daten sind jedoch unwiderruflich verloren. 

Unter Signatur wird jede unter Verwendung von bei unverletzter Ummanteiung 
invariant bleibenden Grolien bzw. MeBwerten ermittelte Wertezusammenfassung 
verstanden; diese Zahl wird mit einer vorgegebenen Stellenanzahl bzw. auf diese 
30 Stellenanzahl gerundet festgelegt. 

Vorteilhafte Ausfuhrungsformen der Erfindung sind der folgenden Beschreibung, 
den Zeichnungen und den Patentanspruchen zu entnehmen. 

Im folgenden wird die Erfindung anhand der Zeichnungen naher eriautert 

Fig. 1 zeigt das Prinzip einer erfindungsgemaB gesicherten Einheit, Fig. 2 und 3 
35 zeigen schematisch eine Draufsicht und einen Schnitt durch eine erfindungsgemaBe 
Einheit. Fig. 4 zeigt schematisch den Schaltungsaufbau einer erfindungsgemaften Einheit 
und Fig. 5, 6, 7 und 8 schematisch Anwendungsbeispiele, 
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Fig. 1 zeigt schematisch eine erfindungsgemaB geschiitzte Einheit 1, im 
vorliegenden Fall einen Modul bzw. eine mit Hardware bestuckte Ratine, der bzw. die von 
einer Schutzschicht bzw. Ummantelung 2 allseitig umgeben ist. Diese Ummantelung 2 kann 
eine die Einheit 1 ein-, mehr- oder allseitig umgebende (Kunststoff)Schicht sein, die 
vorteilhafterweise zumindest langs einer Dimension bezuglich ihrer elektrischen und/oder 
elektromagnetischen Eigenschaften inhomogen ist. Eine derartige Inhomogenitat kann z.B. 
durch Anderungen der Dicke der (Kunststoff)Schicht und/oder durch EinschluB von nicht 
bzw. nicht leicht mit dem Schichtmaterial z.B. Glas, Polymeren bzw. Kunststoff. Gummi. 
Metall- bzw. Halbmetallfilmen, Papier od.dgl. mischbaren, unregelmaBig verteilten 
Materialien bewirkt werden. insbesondere. wenn diese Materialien z.B. Metallpigmente, 
Metallfaden, Rulipartikel, Kohlefasern od.dgl. sind. Bei der Wahl dieser Materialien sollte 
auch darauf Rucksicht genommen werden, daB im Falle einer mechanischen Beschadigung 
relativ groBe Anderungen der Eigenschaften der Ummantelung bewirkt werden, sodaB 
Anderungen in der durch diese geanderten Materialeigenschaften bedingten Werte der 
Signatur entsprechend groB und leicht feststellbar sind. Vorteilhafterweise liegt die 
elektrische Leitfahigkeit der Ummantelung zwischen der eines Isolators und der eines 
metallischen Leiters. urn die Empfindlichkeit der MeBsensoren und die Anzahl der Stellen P, 
Q in Grenzen halten zu konnen. Die Dicke der Ummantelung 2 ist nicht von grundsatzlicher 
Bedeutung und hangt vom Anwendungsfall ab. 

Als zu schiitzende Einheiten 1 kommen insbesondere Prozessoren, 
Recheneinheiten. Chips, Mikroprozessoren bzw. alle elektronischen Bauteile bzw. 
Konfigurationen in Frage, die selbsttatig Rechenoperationen bzw. selbstandig die 
vorgegebenen Schritte zur insbesondere initialen Ermittlung einer Signatur bewaltigen bzw. 
ein entsprechendes Programm abarbeiten konnen bzw. alle Einrichtungen und 
Gegenstande, die derartige Einheiten 1 umfassen. 

In Fig. 2 ist schematisch als zu schiitzende Einheit 1 ein nicht im Detail dargestellter 
Mikroprozessor MP gezeigt, der Anschlusse 3 besitzt, die aus der Ummantelung 2 
herausgefuhrt sind. Wie Fig. 3 im Schnitt zeigt. ist in diesem Fall der Mikroprozessor MP nur 
auf seiner Oberflache von der Ummantelung 2 abgedeckt. Die Mikropads bzw. Anschlusse 
3 konnen auf ubliche Weise mit einer Abdeckschicht 6 gegen elektrischen Kontakt mit der 
Ummantelung 2 abgedeckt sein und die Ummantelung 2 schiitzt den Mikroprozessor MP 
gegen einen mechanischen Angriff auf seiner diesbezuglich empfindlichen Oberflache. Ein 
Angriff gegen den Mikroprozessor MP auf dessen Unter- bzw. Tragerseite 4 wurde diesen 
bereits durch den stattfindenden Angriff selbst zerstoren. 

Urn entsprechende Verbindungen zwischen der zu schutzenden Einheit 1 und der 
Ummantelung 2 fur die Signalbeaufschlagung in Signalaufgabestellen P und fur die 
Messung der MeBwerte in MeBstellen Q zu erstellen. kann insbesondere bei Chips oder 
Mikroprozessoren die oberste Aufbauschichte 18 dieser Einheiten (Fig. 5) selbst 
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1 herangezogen werden Oder es werden entsprechende elektrische Leiter(bahnen) 14, 
insbesondere in der obersten Struktur eines Mikroprozessors MP, verwendet bzw. 
ausgebildet, die an den Signalaufgabestellen P und MeBstellen Q mit der Ummantelung 2 
in Verbindung stehen. Es ist insbesondere bei Chipkarten vorteilhaft, wenn diese Stellen 
5 sehr klein, in der GroBenordnung von einigen pm 2 , ausgebildet werden; bei 
Platinenummantelungen sind Stellen mit Flachen im mm 2 -Bereich durchaus moglich. Zur 
Ausbildung der Signalaufbringungsstellen P und der MeBstellen Q konnen die Leiterbahnen 
14 bis auf'kleine leitende Bereiche mit einer elektrisch isoiierenden Schicht abgedeckt 
werden und diese Bereiche stehen mit der Ummantelung 2 kontaktmaBig in Verbindung. 

10 An Signalaufgabestellen P werden von der Einheit 1 selbst Signale, insbesondere 

elektrische Signale bzw. Signalimpulse, z.B. Strom und/oder Spannungswerte und/oder 
elektromagnetische Signale (Felder), beliebiger Art angelegt. Diese Signale werden vom 
Mikroprozessor MP bzw. von der Einheit 1 selbst bzw. von von der Einheit gesteuerten 
Signalgeneratoren gemaS den bei der Initialisierung unabanderlich vorgegebenen Daten 

15 und/oder Programmen erzeugt und gegebenenfalls tiber eine Verteileinrichtung, z.B. einen 
Selektor 19 Oder einen Buffer 11 an zumindest eine, vorzugsweise eine Anzahl von 
Signalaufgabestelle(n) P angelegt Ein oder eine Mehrzahl dieser Signal(e) wird (werden) 
mit definierter GroBe und/oder Zeitdauer gleichzeitig Oder in vorgegebener zeitlicher. 
Reihenfolge an die festgelegten Signalaufgabestellen P angelegt. 

20 In den MeBstellen Q werden mit Sensoren, z. B. elektromagnetischen MeBeinheiten 

bzw. Analog/Digitalwandler 5, die von der Signalbeaufschlagung resultierenden 
MeBgroBen abgenommen. Die Ermittlung bzw. Abnahme der MeBwerte erfolgt gleichzeitig 
oder zeitverzogert zu der Signalaufbringung fur eine definierte Zeitspanne und/oder zu 
definierten Zeitpunkten, gegebenenfalls gleichzeitig fur mehrere MeBstellen Q. Es ist auch 

25 mdglich, eine statische Signalaufbringung und eine statische Messung vorzunehmen. 

Prinzipiell ist es auch mdglich, an einer Signalaufgabestelle P mehrere Signale 
hintereinander aufzugeben. Vorteilhafterweise wird jedoch derart vorgegangen, daB in einer 
unveranderlich vorgegebenen Mehrzahl von lagemaBig invarianten Signalaufgabestellen P 
unveranderlich definierte, insbesondere fur die einzelnen Signalaufgabestellen 

30 unterschiedliche Signale an die Ummantelung 2 angelegt werden und daB an einer 
unveranderlich vorgegebenen Mehrzahl von lagemaBig invarianten MeBstellen Q die 
resultierenden MeBwerte in vorgegebener Weise abgenommen werden. Die Aufgabe der 
Signale und die Ermittlung der MeBwerte erfolgt immer nach denselben invarianten 
Kriterien, sodaB bei jedem Signalaufgabe-MeBwertermittlungs-Zyklus dieseiben Resultate 
35 zu erwarten sind. Diese Resultate bleiben invariant, solange die Ummantelung 2 
unverSnderten Aufbau bzw. unveranderte Eigenschaften besitzt und sind fur die 
Schutzschicht bzw. Ummantelung 2 und somit auch fur geschiitzte Einheit 1 
charakteristisch. Sobald eine Veranderung der Signatur der Ummantelung 2 durch 
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1 mechanische Oder eine andere Veranderung, z. B. Durchbohren Oder Anritzen, ihres 
Aufbaus eintritt, geht die bei der Initialisierung ermittelte und seit diesem Zeitpunkt invariant 
gultige Signatur unwiderruflich verloren und da eine geanderte Signatur von der Einheit fur 
die Entschlusselung der gespeicherten Daten und/oder Programme bzw. fur ihren Betrieb 

5 nicht verwendet werden kann, ist ein sinnvoller Betrieb dieser Einheit nicht mehr moglich. 

Die erhaltenen MeBwerte konnen entweder in der erhaltenen Form zu einer Signatur 
zusammengefaBt werden oder sie werden zur Signaturermittlung mittels vorgegebener 
Funktionen mathematisch miteinander verknupft, z.B. kann ein Zahlenvektor der MefJwerte 
als Signatur fur die Ummanteiung bestimmt werden. Die Signatur konnte auch von der Zahl 
10 gebildet werden, die durch mathematische Abanderung der MeBwerte, z.B. Einsetzen der 
MeBwerte in Funktionen als Veranderliche ermittelt wird. Jede derart ermittelte Signatur 
bzw. Zahl bleibt invariant bzw. kann in derselben Form bzw. GroBe immer wieder ermittelt 
werden, solange die Ummanteiung 2 bezuglich ihrer Eigenschaften invariant bleibt. An sich 
konnen auch die von der Einheit 1 an die Ummanteiung 2 abgegebenen Signale in der 
15 Signatur Berucksichtigung finden. Auch weitere invariante Daten konnten in der Signatur 
beriicksichtigt werden; auch das Einsetzen der ermittelten MeBwerte in eine (HASH)- 
Funktion ist moglich; die sich ergebenden Funktionswerte konnen Teil der bzw. die Signatur 
sein. Die Ermittlung der Signatur erfolgt jedoch immer auf die bei der Initialisierung 
vorgegebene Weise. 

20 Die dem Mikroprozessor bzw. Rechner fur seine Funktion bzw. seinen Betrieb 

aufgegebenen Daten und/oder Programme werden bei der Initialisierung der Einheit 1 
zumindest teilweise mit der initial ermittelten Signatur verschlusselt gespeichert, sodaB bei 
jedem Betriebsbeginn diese Daten und/oder Programme sinnvollerweise nur dann 
abgearbeitet werden konnen, wenn fur diese Abarbeitung - gegebenenfalls innerhalb 

25 vorbestimmter Grenzen - die zur Verschlusselung eingesetzte Signatur bei der bei 
Betriebsbeginn jeweils neuerlich erfolgenden Signaturermittlung richtig erhalten wird. Es 
wird somit vor jeder neuen Betriebsaufnahme die Signatur neu ermittelt und entweder mit 
der initial ermittelten Signatur verglichen Oder es wird vorgesehen, daB die unter 
Verwendung der initialen Signatur verschlusselt gespeicherten Daten und/oder Programme 

30 zwangslaufig nur mit der neuen Signatur entschlusselt bzw. abgearbeitet werden konnen. In 
beiden Fallen fiihrt eine Diskrepanz zwischen der initialen und neu ermittelten Signatur zu 
einer Fehlfunktion der Einheit. Vorteilhafterweise wird die initial ermittelte Signatur nicht 
gespeichert, sondem wird geloscht bzw. verworfen, nachdem sie zum Verschlusseln der 
initial aufgegebenen Daten und/oder Programme verwendet wurde. Damit wird die 

35 Sicherheit gegen Zugriff bzw. Entschlusselung des Inhaltes der Einheit erhoht. 

Fig. 4 zeigt schematisch einen Aufbau eines mit erganzenden elektronischen 
Bauteiien 5, 11 und Leitungen 14 versehenen Mikrochips, wobei von dem Prozessor MP 
uber einen Buffer 11 elektrische Signale an die Signalaufgabestellen P abgegeben werden. 
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1 Der Empfang der Meftgroften von den Meftstellen Q erfolgt ubereinen Meftsensor 23 und 
den Analog/Digitalwandler 5. Es kann vorgesehen sein, dad sowohl der Buffer 11 als auch 
der Analog/Digitalwandler 5 einen Selektor umfassen, mit dem die Signale gleichzeitig 
und/oder der Reihe nach an eine Mehrzahl von Signalaufgabestellen P angelegt werden 
5 kdnnen bzw. eine Anzahl von Meftsensoren 23 bzw. Meftstellen Q gleichzeitig oder der 
Reihe nach abgetastet werden konnen. Die geschiitzte Einheit 1 kann uber eine 
Datenaustauschleitung 9 mit einer externen Einheit 10 kommunizieren, ohne daft der 
Schutz fur clie elektronische Einheit 1 in irgendeiner Weise beeintrachtigt ist. In gleicher 
Weise konnte auch mit einer in der Einheit 1 enthaltenen und von der Ummantelung 2 

10 geschiitzten Datenubertragungseinrichtung, z.B. einer Magnet- und/oder Sendeimpulse 
empfangenden und/oder abgebenden Kommunikations-Einheit bzw. einer Antenne, ein 
Datenaustausch mit der Auftenwelt vorgenommen werden. Der Mikroprozessor MP 
exekutiert aus dem RAM 12. An die Signalaufgabestellen P kann bei Bedarf ein VSS- Oder 
ein VCC-Pegel angelegt werden, somit kann auch die Signalintensitat als MeBwert 

15 herangezogen werden. 

Es ist einfach, die Leitungen 14, die Meftstellen P und/oder Q, Signalgeneratoren 
und Meftsensoren, Analog/Digitalwandler 5 bzw. Buffer 11 entweder zusatzlich. in 
vorhandene elektronische Recheneinheiten zu integrieren oder mittels bereits in der 
elektronischen Einheit 1 vorhandenen Leitungen bzw. Schaltbauteilen zu realisieren. In dem 

20 ublicherweise vorhandenen Speicher 12, der an den Mikroprozessor MP angeschlossen ist, 
kann die Signatur gespeichert werden bzw. Signaturvergleiche konnen dort erfolgen bzw. 
erfolgt die Speicherung der initial aufgegebenen Daten und/oder Programme. 

In Fig. 3 ist der Angriff gegen eine geschiitzte elektronische Einheit, im vorliegenden 
Fall ein Mikroprozessor MP, so wie er in Fig. 2 in Draufsicht dargestellt ist, mittels einer 

25 Nadel 7 dargestellt. In dem Augenblick, in dem die Nadel 7 die Ummantelung 2 durchdringt, 
bewirkt die Verletzung der Ummantelung 2 eine unwiderrufliche VerSnderung der Signatur. 
Angedeutet sind ferner eine Signalaufgabestelle P und eine Meftstelle Q, die mit 
entsprechenden Leiterbahnen 14 an den Mikroprozessor MP angeschlossen sind. 

Zur Ermittlung einer Signatur konnte z.B. vorgesehen sein, daft gleichzeitig oder der 

30 Reihe nach an funf Signalaufgabestellen P die Spannungswerte von z.B. +3,+1,+4 t 0,+1/2 
Volt angelegt werden und an einer Anzahl von Meftstellen Q die dort auftretenden 
Spannungs- und/oder Stromwerte bzw. deren Verlaufe und/oder deren Werte 
gegebenenfalls nach einer bestimmten Zeitspanne als Meftwerte abgenommen werden. Die 
Meftwerte werden sodann allenfalls nach einer vorgegebenen mathematischen Umformung 

35 zur Ausbildung einer Signatur bzw. Zahl herangezogen. Prinzipiell ist es auch moglich, 
durch entsprechende Ausbildung der Signalgeneratoren und Signalaufgabestellen P und 
Meftsensoren bzw. Meftstellen Q kapazitive Signale bzw. elektrische Felder als Signale 
einzusetzen bzw. als Meftgrofte zu messen. 
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1 Soferne eine elektronische Einheit von einer Ummantelung 2 auf mehreren Seiten 

umhullt wird, ist es vorteilhaft, MeBpunkte Q und/oder Signalaufgabepunkte P an jeder 
dieser Flachen vorzusehen. Eine typische Anzahl von Mefipunkten Q und 
Signalaufgabestellen P ist zumindest jeweils 20 bis 40 Signalaufgabestellen und 
5 MeBpunkte pro cm 2 der Ummantelung 2. Die Anzahl der Melistellen Q und 
Signalaufgabestellen P hangt auch von der Grolie und Art der Signale bzw. von dem 
Material der Ummantelung 2 ab. Aus Fig. 1 ist ersichtlich, dali an die 
Signalaufgabestellen P und an die Melistellen Q elektrische Leiter 8 angeschlossen sind, 
welche in verschiedener Lange und/oder verschiedener Dicke und/oder verschiedener Lage 

10 in die Ummantelung 2 hineinreichen. Damit kann die Inhomogenitat der Ummantelung 2 
hervorgerufen bzw. verstarkt und die Signalaufgabe bzw. die Messung der resultierenden 
Meligrdfien erleichtert werden. Die Form der zu schutzenden elektronischen Einheit 1 ist 
eher nicht relevant, da Ummantelungen 2 aus Kunststoff oder nahezu vergleichbaren 
Materialien auf atle beliebig gestalteten Oberflachen bzw. urn Gegenstande herum 

1 5 auf gebracht werden konnen. 

Des weiteren ist zu bemerken, dali es in der Praxis nahezu unmoglich ist, auch auf 
zwei gleiche Einheiten 1 idente Ummantelungen 2 aufzubringen, da bereits aufgrund von 
Herstellungsunregelmaliigkeiten, Oberflachenungenauigkeiten usw. ( die auf an sich gleich 
gestaltete Einheiten 1 aufgebrachten Ummantelungen 2 bereits unterschiedliche 

20 Eigenschaften besitzen, die fur die Ermittlung einer fur die Ummantelung charakteristischen 
Signatur in ausreichender Zahl unterschiedliche Meliwerte zur Verfugung stellen. Es wurde 
auch ausreichen, bei identischen Ummantelungen die Lage der Signalaufgabestellen P und 
der Melistellen Q von zwei Einheiten 1 zu variieren, urn fur diese Einheiten 
charakteristische und unterschiedliche Signaturen zu erhaiten. In die Signatur der 

25 Ummantelung 2 gehen ferner nicht nur die Eigenschaften der Ummantelung 2 ein, sondern 
auch (Oberflachen) Eigenschaften der zu schutzenden Einheit 1 ein, insbesondere dann, 
wenn die Einheit 1 flachig mit der Schutzschicht bzw. Ummantelung 2 in Verbindung steht. 
Allenfalls wird deshalb zwischen der Ummantelung 2 und einer Schutzschicht eine 
Isolierschicht angebracht. An sich konnte bereits eine Beruhrung bzw. ein Anlegen eines 

30 elektrischen oder elektromagnetischen Feldes die Signatur - allerdings reversibel - 
verandem, soferne nicht fur eine ausreichende Abschirmung der Ummantelung 2 gegen 
derartige Einflusse vorgesehen ist. 

Als Sensoren 23 fur die Meliwerte konnen entsprechende analoge Schaltungen 
eingesetzt werden, die an Analog/Digitalwandler 5 angeschlossen sind. Es konnen an sich 

35 beliebige Einrichtungen zur Ermittlung der MeSwerte vorgesehen bzw. an den 
Mikroprozessor bzw. Rechner angeschlossen sein. 
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1 Wie in Fig. 6 dargestellt, konnte auch zwischen der zu schutzenden Einheit 1 und 

der Ummantelung 2 ein entsprechender Freiraum 16 ausgebildet werden, in dem zu 
schutzende GegenstSnde 15 angeordnet werden konnen. Die elektronische Einheit 1 und 
der Gegenstand 15 sind allseitig durch eine obere Ummantelung 2 und eine Basis- 
5 Ummantelung 2" gegen Zugriff geschutzt und zumindest an einer der beiden 
Ummantelungen 2' sind Signalaufgabepunkte P und MeGstellen Q ausgebildet Mit einer 
Zwischenwand 21 konnten die Einheit 1 und der Gegenstand 15 getrennt angeordnet 
werden. An'sich ware es auch moglich, z. B. die Basis-Ummantelung 2" aus Stahl Oder 
anderem Widerstand gegen Zutritt leistendem Material auszubilden und darauf die von der 

10 Einheit 1 uberwachte Ummantelung 2' als Schutz gegen unerlaubten Zutritt aufzubringen. 
Soferne die Basis-Ummantelung 2" bei einem Zugriff zum Gegenstand beschadigt wird, ist 
dies sichtbar; soferne die elektronisch geschutzte obere Ummantelung 2' verletzt wird, 
bedingt dies eine Fehlfunktion der Einheit 1 aufgrund der veranderten Signatur. Daraus 
kann festgestellt werden, ob versucht wurde, sich dem schutzenden Gegenstand 15 

15 anzunahern. Die in Fig. 6 dargestellte Anordnung kann noch mit einer Umhullung bzw. 
Schutzhulle abgedeckt bzw. umschlossen werden. 

Fig. 5 zeigt eine Anordnung, bei der auf einem Trager 17 ein Mikrocomputer MC 
angeordnet ist, dessen strukturellen Aufbau 18 auf einer unteren Tragerschicht'i4 
ausgebildet wurde und auf dem Leiterbahnen 14 aufgebracht bzw. ausgebildet sind, die 

20 durch die Ummantelung 2 nach oben abgedeckt sind. Die Ummantelung 2 kann mit einer 
Deckschicht 22 abgedeckt werden, die die Signaturwerte der Ummantelung 2 aber eher 
nicht mitbestimmen soil. Uber eine Anschlufcleitung 3 steht der zu schutzende 
Mikrocomputer MC mit einer Dateneingabe- und/oder Datenausgabeeinheit 10 in 
Verbindung, die von der Deckschicht 22 ebenfalls abgedeckt ist. Eine derartige Anordnung 

25 kann insbesondere bei einer Scheck- bzw. Bankomatkarte mit Chip- bzw. Mikroprozessor 
vorgesehen werden. Ein Zugriff von seiten des Tragers 17 durch die Basisschicht 4 des 
Mikroprozessors MC zerstort diesen unwiderruflich; ein Zutritt durch die Ummantelung 2 
zerstort die Signatur und damit ebenfalls die Funktion des Mikroprozessors, sodaft die 
Einheit unbrauchbar geworden ist. 

30 Es ist moglich, wahrend des Betriebs der elektronischen Einheit, d.h. wahrend der 

Datenverarbeitung, die Signatur in bestimmten Abstanden zu uberprufen und mit einer 
Weiterverarbeitung der Daten nur dann fortzufahren, wenn die Signatur mit einer 
gespeicherten vorangehend oder bei der Initiaiisierung ermittelten Signatur ubereinstimmt 
bzw. als invariant beurteilt worden ist. 

35 Als aufzugebende Signale kommen unter Umstanden auch Signalfolgen in Frage, 

bei denen gleiche oder unterschiedliche Signale bei den Signalaufgabestellen P der 
Ummantelung aufgegeben werden. Konstruktiv einfach ist es, wenn lediglich eine einzige 
Signalaufgabeeinheit vorgesehen ist, die an eine Anzahl von Signalaufgabestellen 
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1 gleichzeitig Oder in einer bestimmten Reihenfolge die Signale aufgibt bzw. nur ein einziger 
Mefiwertaufnehmer vorgesehen ist, der die MeBstellen gleichzeitig oder der Reihe nach 
abfuhlt. 

Die Ummantelung 2 kann durchsichtig oder undurchsichtig sein; vorteilhafterweise 
5 ist die Ummantelung 2 undurchsichtig, urn keine Hinweise auf die prazise Lage der 
Signalaufgabestellen P und MeBstellen Q zu geben. Uber die Ummantelung konnen 
beliebige weitere Schichten, Abdeckungen od. dgl. aufgebracht werden. 

In Fig. 4 ist beispielsweise ein uber den Analog/Digitalwandler 5 an die Einheit 1 
bzw. den Rechner angeschlossener Temperatursensor 6 dargestellt, mit dem die jeweilige 

10 Temperatur der Ummantelung 2 festgestellt werden kann. Da insbesondere die elektrischen 
und/oder elektromagnetischen Kennwerte der Ummantelung 2 temperaturabhangig sind, ist 
die jeweilige Temperatur der Schutzschicht 2 zum Zeitpunkt der Signaturermittlung von 
Bedeutung. Im Falle unterschiedlicher Temperaturen der zu schutzenden Einheit 1 bei der 
Initialisierung bzw. bei jeweiligen Betriebsbeginnen oder Temperaturanderungen wahrend 

15 des Betriebs wurden allenfalls unterschtedliche Signaturen ermitteit werden und sich die 
entsprechenden Folgen einstellen. Es ist somit vorteilhaft, fur eine bestimmte Anzahl von 
Temperaturbereichen jeweils bestimmte unveranderliche Werte der Signatur der 
Ummantelung 2 im Zuge der Initialisierung zu ermitteln bzw. festzulegen. Die fur die 
einzelnen Temperaturbereiche ermittelten Signaturen S T , vorteilhafterweise aber nur die 

20 Differenzwerte AS dieser fur die einzelnen Temperaturbereiche ermittelten Signaturen S T 
zu einer Norm-Signatur Snorm. die bei einer gewahlten Basis- bzw. Normtemperatur 
ermitteit wurde, werden in der Einheit 1 bei der Initialisierung gespeichert (AS = S T - Snorm). 
Die bei der Initialisierung im folgenden der Einheit 1 aufgegebenen Daten und/oder 
Programme werden zumindest teiiweise mit der Norm-Signatur Snorm verschlusselt. Vor 

25 oder im Betrieb der Einheit 1 stellt diese die Signatur S T fur die Ummantelung 2 bei der 
gerade herrschenden Temperatur fest und berechnet aus dieser ermittelten Signatur S T und 
dem gespeicherten Differenzwert AS fur denjenigen Temperaturbereich, in den die 
herrschende Temperatur der Ummantelung 2 fallt, gemaB obiger Gleichung die Norm- 
Signatur Snorm mit der die Entschliisselung der gespeicherten Daten und/oder Programme 

30 erfolgt. Ist die Ummantelung 2 beschadigt worden, wird ein unrichtiger Wert fur die Signatur 
S T ermitteit mit alien Folgen. 

Wenn in den Speichern der zu schutzenden Einheit lediglich Differenzwerte AS der 
fur einzelne Temperaturbereiche ermittelten Signaturen S T und einer Norm-Signatur Snorm, 
die z.B. bei 25°C ermitteit wurde, enthalten sind, so ware sogar das Ausspahen der 

35 Differenzwerte AS nicht aussagekraftig, da die Norm-Signatur S NO rm nicht ermitteit werden 
kann. 
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1 Bei der Ermittlung der Signatur, insbesondere der Signaturen S T fur einzelne 

Temperaturbereiche, wird vorteilhafterweise derart vorgegangen, daB die ermittelten 
Signaturwerte bzw. Zahlen gerundet werden, derart, daB die letzte gerundete Stelle 
innerhalb dieses jeweiligen Temperaturbereiches vollig invariant bleibt. Urn den 
5 Temperaturgang der Signatur in dem Intervall zu begrenzen werden allerdings so wenig wie 
moglich Stellen abgeschnitten bzw. werden Zehnerubergange bzw. die Bit-Sprunggrenzen 
hauptsSchlich durch VerSnderung der aufgegebenen Signale im Zuge der Initialisierung 
ausgeglichen. 1st etwa eine Signatur bzw. Zahl gemaB der Erfindung zu "runden", so wird 
darauf geachtet, dad bei der Wiederermittlung der Signatur der gleiche Signaturwert 

10 entsteht. Man hat daher zu achten, daft kein MeBwert w nach der Rundung aufgrund einer 
Temperatur- oder MeBtoleranz einmal W und das nachste Mai W+1 ergibt. Demzufolge wird 
der MeBwert w auf n Stellen abgeschnitten. Liegt der abgeschnittene Wfert am Rande des 
Wertebereiches (besonders nahe der 0 oder des groBten moglichen abgeschnittenen 
Wertes), dann werden andere Signale an die Signalpunkte angelegt, woraus andere 

15 MeBwerte resultieren und dies solange bis die letzte Stelle der Signatur fur die 
Grenztemperaturen des Temperaturbereiches gemessen, mit Sicherheit innerhalb dieses 
Stellenwertes bleibt und diesen Stelienwert nicht nach oben uberschreitet. 

Bei einer Rundung einer Signatur auf 5 Kommastellen wurde die Zahl 
34,345325123217218 auf 34,34532 gerundet werden, aber die Zahlen 

20 34,34532001778787 bzw. 

34,34532989898567 wiirden verworfen, weil sie bei einer weiteren Messung 
eventuell nicht eindeutig identifizierbar bzw. reproduzierbar waren. 

Zur Vorgehensweise ist zu bemerken, daB es kein Problem darstellt, die Signalwerte 
im Sinne der Reproduzierbarkeit im Speicher zu haben, da dadurch keine verwertbare 

25 Information uber die MeBwerte und damit uber die Signatur, die nicht gespeichert werden 
sollte, resultiert. Die fur die Signatur ermittelten MeBwerte konnen beispielsweise modulo 
einer Primzahl multipliziert werden. 

Fur die Initialisierung der elektronischen Einheit 1 wird Sorge getragen, daB diese 
elektronische Einheit 1 ein Programm besitzt, das eine Signaturermittlung selbstandig 

30 vornimmt und samtliche, nach dieser Signaturermittlung fur die Initialisierung erhaltene 
Daten und/oder Programme zum Teil oder zur Ganze mit der ermittelten Signatur 
verschlusselt, speichert und abarbeitet Im Zuge des Betriebs der Einheit 1 von dieser 
gespeicherte Daten werden mit der jeweils neu ermittelten oder der allenfalls gespeicherten 
initial ermitttelten Signatur verschlusselt, gespeichert bzw. abgearbeitet 

35 Prinzipiell konnen anstelle von elektrischen und/oder elektromagnetischen Signalen 

auch Schallsignale, StoBwellen, Schwingungssignale usw. von der Einheit 1 mit 
entsprechenden Signalgebern an die Ummanteiung 2 angelegt und an den MeBstellen die 
MeBwerte mit entsprechenden MeBsensoren abgenommen werden, um mit diesen 
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1 Meftwerten eine Signatur auszubilden. Die Weiterleitung von Schallwellen, Schwingungen 
usw. in der Ummantelung 2 hangt direkt von deren Aufbau ab; wird der Aufbau mechanisch 
verandert, so verandern sich die abgenommenen Meftwerte, da die Signalubertragung in 
der Ummantelung 2 verandert worden ist. 

5 Es ist vorteilhaft, wenn die bei der Initialisierung ermittelte Signatur nicht gespeichert 

wird, urn ein Ausspahen und damit Entschlusseln der initial gespeicherten Daten und/oder 
Programme zu verhindern. Es bringt bereits jedoch Vorteile, wenn die initial ermittelte 
Signatur gespeichert wird und bei jeder Inbetriebnahme ein Vergleich der initial 
gespeicherten mit der neu ermittelten Signatur erfolgt; damit kann einerseits der bei 

10 Initialisierung der Einrichtung erforderliche Programmieraufwand verringert werden; des 
weiteren gleichen sich die Signaturen unterschiedlicher Einheiten mit Sicherheit nicht, 
sodaft auch bei Ausspahen der Signatur einer Einheit keinerlei Ruckschlusse auf die 
Signaturen von anderen Einheiten gezogen werden konnen. Von Vorteil ist es, wenn auch 
bei der Ermittlung der Signaturen fur einzelne Temperaturbereiche die Norm-Signatur 

1 5 gemessen bei Normal-Temperatur, nicht gespeichert wird. 

Fig. 7 und 8 zeigen Ausfuhrungsformen von erfindungsgemaft ausgebildeten 
Chipkarten. Fig. 7 zeigt eine Chipkarte 25 mit Kontakten 24 und Fig. 8 zeigt eine 
kontaktlose Chipkarte 25. Die von einem Chip gebildete elektronische Einheit 1 ist im Fall 
der Fig. 7 mit Kontakten 24 versehen, die zu einem entsprechenden Datenaustausch mit 

20 externen Einheiten dienen. Der Chip 1 selbst ist im wesentlichen bis auf seine 
Kontaktfiache von einer Ummantelung 2 umgeben, die ihrerseits mit einer Isolationsschicht 
26 gegenuber dem Material der Chipkarte 25 isoliert ist. Mit P und Q sind die 
Signalaufgabestellen und die Meftstellen schematisch dargestellt. Die Verbindung der 
Kontakte 24 mit dem Chip 1 erfolgt uber entsprechende Leiter 3. Das Material der Chipkarte 

25 25 kann an sich beliebig gewahlt werden; ein unerwiinschter Zutritt zum Chip 1 von seiten 
der Kontakte 24 her zerstort den Chip 1; ein Zutritt von seiten der Ummantelung 2 zerstort 
die Signatur unwiderruflich. 

Die Ummantelung 2 kann unter Umstanden auch mit der Einbettungsmasse 25 ident 
sein bzw. konnte auch ein Kleber sein, mit dem die Isolierschichte 26 festgehalten wird. 

30 Die in Fig. 8 dargestellte Chipkarte 25 zeigt eine kontaktlose Chipkarte, bei der auch 

die Antennenspule 10 in die Ummantelung 2 eingeschlossen ist. Es ist durchaus moglich, 
daft auch die Antenne 10 aufterhalb der Ummantelung bzw. der Isolationsschicht 26 in das 
Material der Chipkarte 25 eingebettet ist. Im vorliegenden Fall ist somit die elektronische 
Einheit bzw. der Chip 1 allseitig von der Ummantelung 2 geschiitzt. 

35 Die wesentlichen Vorteile der erfindungsgemaften Vorgangsweise sind, daft ein 

Eindringversuch nicht zu einer Zerstorung der zu schiitzenden Einheit Oder der 
Ummantelung fuhrt, sondern zur Situation, daft die im Bauteil vorhandene Information nicht 
mehr entschlusselbar und daher nicht verwendbar wird. Die Anordnung ist so getroffen, daft 
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sie sich besonders fur Microchips eignet. Die Sicherung erfolgt mit einer nicht von aufcen 
reproduzierbaren Signatur, die aus der UnregelmSGigkeit des Abdeckmateriats bzw. der 
Ummantelung abgeleitet wird. Die Methode ist damit auch fur alle nichtfluchtigen Speicher, 
die schutzenswerte Information enthalten, geeignet. Ein Ldschen der Information und 
gesonderte Sensoren in diesem Bereich sind zum Schutz der Information daher nicht 
notwendig. 
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Patentanspriiche: 

1. Verfahren zum Schutz von elektronischen Recheneinheiten. Prozessoren. 
Prozessorschaltungen, insbesondere Mikroprozessoren, Chips, od. dgl., oder derartige 
Einheiten enthaltende Gegenstande gegen unerwunschten Zugriff, dadurch 
gekennzeichnet, 

- daft zumindest die einem, insbesondere mechanischem. Angriff bzw. Ausspahen 
ausgesetzte Seite bzw. Flache der zumindest einen Prozessor, z. B. einen 
Mikroprozessor und/oder Rechner und/oder Chip, umfassenden Einheit (1) mit einer 
Ummantelung bzw. Schutzschicht (2), vorzugsweise mit schwer identisch 
nachbildbaren, insbesondere in zumindest einer Dimension inhomogenen, 
elektrischen und/oder elektromagnetischen Eigenschaften, versehen Oder 
abgedeckt wird, 

- daft von der mit der Ummantelung geschutzten Einheit (1). insbesondere elektrische 
und/oder elektromagnetische, Meftwerte. vorzugsweise Widerstand und/oder 
Kapazitat und/oder Strom und/oder Spannung und/oder magnetische Felder 
und/oder der zeitliche Verlauf dieser Meliwerte, an zumindest einer, vorzugsweise 
einer Mehrzahl von, vorzugsweise invariant, festgelegten MeBstelle(n) an und/oder 
in der Ummantelung ermittelt bzw. gemessen werden, nachdem an zumindest einer, 
vorzugsweise an einer Mehrzahl von, vorzugsweise invariant, festgelegten 
Signalaufgabestelle(n) an und/oder in der bzw. die Ummantelung (2) von der 
Einheit (1) definierte, insbesondere elektrische und/oder elektromagnetische, 
Signale, vorzugsweise Strom- und/oder Spannungssignale, angelegt bzw. 
eingeleitet wurden, 

- und daft mit den Meftwerten und gegebenenfalls den Signalwerten und allenfalls mit 
weiteren von der mechanischen Unversehrtheit der Ummantelung abhangigen 
Meftwerten eine fur eine unversehrte bzw. eine durch ihre mit den angelegten 
Signalen untersuchten Eigenschaften definierte Ummantelung (2) bzw. eine fur die 
Ummantelung zum Zeitpunkt der Vermessung charakteristische Signatur gebildet 
wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daft die Ermittlung der Signatur 
im Zuge der Initialisierung der Einheit bzw. des Rechners erfolgt. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daft zumindest ein Teil 
der der Einheit bei ihrer Initialisierung aufgegebenen Daten und/oder Programme unter 
Einbindung der bei der Initialisierung ermittelten Signatur verschliisselt wird. 
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4. Verfahren nach einem der Anspruche 1 bis 3, dadurch gekennzeichnet, daft vor einer, 
insbesondere vor jeder Inbetriebnahme, und gegebenenfalls auch wahrend des 
Betriebes der Einheit von der Einheit selbst eine neuerliche Ermittlung der Signatur der 
Ummantelung unter Zugrundeiegung von insbesondere denselben Bedingungen und 
Vorgangsweisen wie bei der Initialisierung der Einheit vorgenommen wird. 

5. Verfahren nach einem der Anspruche 1 bis 4, dadurch gekennzeichnet, daft die im 
Zuge cfer Initialisierung ermittelte Signatur nach Verwendung zur Verschlusselung 
zumindest eines Teiles der nachfolgend eingegebenen Daten und/oder Programme 
verworfen bzw. nicht gespeichert bzw. unwiderruflich geloscht wird. 

6. Verfahren nach einem der Anspruche 1 bis 5, dadurch gekennzeichnet, daft die 
Signalaufgabe, die Meftwertermittlung und die Signaturermittlung reproduzierbar 
vorgegeben sind. 

7. Verfahren nach einem der Anspruche 1 bis 6, dadurch gekennzeichnet, daft bei jeder 
Inbetriebnahme die Signatur neu ermittelt und diese neu ermittelte Signatur zum 
Entschlusseln der in dieser Einheit verschlusselt gespeicherten Daten und/oder 
Programme herangezogen wird. 

8. Verfahren nach einem der Anspruche 1 bis 7, dadurch gekennzeichnet, daft zumindest 
ein, vorzugsweise alle Meftwert(e), in ihrer ermittelten Form bzw. Grofte Oder in einer 
mathematisch abgewandelten bzw. veranderten Form, gegebenenfalls nach Einsetzen 
des(r) Meftwerte(s) als Verandertiche in eine (HASH)Funktion zur Bildung der Signatur 
bzw. des Zahlenwertes der Signatur herangezogen werden. 

9. Verfahren nach einem der Anspruche 1 bis 8, dadurch gekennzeichnet, daft nur bei 
Feststellung bzw. Verwendung einer unverandert gebliebenen Oder einer nur innerhalb 
von vorgegebenen Grenzen geSnderten Signatur die Einheit den ordnungsgemaften 
Betrieb aufnimmt oder in den ordnungsgemaften Betriebszustand versetzt wird. 

10. Verfahren nach einem der Anspruche 1 bis 9, dadurch gekennzeichnet, daft die 
insbesondere zumindest in einer Dimension inhomogene Ummantelung durch 
vorzugsweise unvollstandiges Vermischen von unterschiedlichen, gegebenenfalls nicht 
bzw. nicht gut miteinander mischbaren Substanzen, z.B. durch Mischen von 
Kunstharzen bzw. -stoffen, Glas, Gummi od.dgl. und Metallteilchen, Kohlefasern, 
Ruftpartikel od.dgl., oder durch ungleichmaftiges Auftragen von zumindest einem 
Beschichtungsmaterial, z. B. Kunststoff, hergestellt wird. 
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1 11. Verfahren nach einem der Anspruche 1 bis 10, dadurch gekennzeichnet, daB die 
Beaufschlagung der Signalaufgabestellen mit Signalen und die Ermittlung der 
MeBwerte zur initialen Festlegung der Signatur und eine neuerliche Ermittlung Oder 
eine Oberprufung der Invarianz der Signatur, insbesondere vor jeder Inbetriebnahme 

5 der Einheit, ausschlieBlich von der mit der Ummantelung geschutzten Einheit selbst 

vorgenommen wird. 

12. Verfahren nach einem der Anspruche 1 bis 11, dadurch gekennzeichnet, daB die im 
Zuge einer Inbetriebnahme neuerlich ermittelte Signatur nach Verwendung zum Ver- 

10 und/oder Entschlusseln von gespeicherten und/oder zur Speicherung erhaltenen Daten 

und/oder Programmen verworfen bzw. nicht gespeichert bzw. unwiderruflich geldscht 
wird. 

13. Verfahren nach einem der Anspruche 1 bis 12, dadurch gekennzeichnet, daB die 
15 Auswahl und Reihenfolge der Beaufschlagung der vorhandenen Signalaufgabestellen 

und die Auswahl und Reihenfolge der Abtastung der MeBstellen, der Art und GroBe der 
Signale, mit denen die Signalaufgabestellen beaufschlagt werden, und die Art und 
Weise, in der die MeBwerte ermittelt und zur Signatur geformt werden, immer nach 
einem in der zu schiitzenden Einheit durch bei der Initialisierung originar gespeicherte 
20 Daten und/oder Programme nach einem unabanderlich festgelegten Modus 

vorgenommen wird. 

14. Verfahren nach einem der Anspruche 1 bis 13, dadurch gekennzeichnet, daB bei der 
Initialisierung fur eine Anzahl von unterschiedlichen, insbesondere 

25 aufeinanderfolgenden, Temperaturintervallen der Ummantelung jeweils eine Signatur 

ermittelt wird. 

15. Verfahren nach einem der Anspruche 1 bis 14, dadurch gekennzeichnet, daB nach 
Ermittlung von Signaturen fur eine Anzahl von unterschiedlichen, insbesondere 

30 aufeinanderfolgenden, Temperaturintervallen der Ummantelung lediglich die 

Differenzen zwischen den fur die einzelnen Temperaturintervalle ermittelten Signaturen 
und einer bei einer vorgegebenen Normaltemperatur bei der Initialisierung ermittelten 
Norm-Signatur in der Einheit abgespeichert werden, und daB zumindest ein Teil der der 
Einheit insbesondere bei der Initialisierung aufgegebenen Daten und/oder Programme 

35 mit der Norm-Signatur verschlusselt werden. 
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1 16. Verfahren nach Anspruch 15, dadurch gekennzeichnet, daft bei einer Inbetriebnahme 
der Einheit aus den fur die einzelnen Temperaturbereiche gespeicherten Signatur- 
Differenzen der der herrschenden Temperatur der Ummantelung entsprechende Wert 
der Signatur-Differenz herangezogen und zu diesem Wert der bei der herrschenden 

5 Temperatur ermittelte Wert der Signatur addiert und damit die Norm-Signatur bei 

Normaltemperatur ermittelt wird. 

17. Verfahren nach einem der Anspruche 1 bis 16, dadurch gekennzeichnet, daft bei der 
Uberprufung einer vor Inbetriebnahme neuerlich ermittelten Signatur der Signaturwert 

10 desjenigen Temperaturintervalles zu Vergieichszwecken herangezogen wird, in dem 

die zum Zeitpunkt der Signaturermittlung gemessene Temperatur der Ummantelung 
liegt Oder daft der Wert der Norm-Signatur fur die Uberprufung der Unversehrtheit der 
Ummantelung bzw. fur die Entscheidung betreffend die Zulassigkeit der 
Inbetriebnahme der Einheit und/oder das Abschalten derselben herangezogen wird. 

15 

18. Anordnung zum Schutz von elektronischen Einheiten, die zumindest eine 
Recheneinheit bzw. eine Prozessoreinheit, z.B. einen Mikroprozessor und/oder einen 
Rechner, insbesondere einen Chip, umfassen, gegen unerwiinschten Zugriff, 
insbesondere zur Durchfuhrung des Verfahrens nach einem der Anspruche 1 bis 17, 

20 dadurch gekennzeichnet, 

- daft zumindest die einem, insbesondere mechanischen, Angriff ausgesetzte Seite 
bzw. Flache der Einheit mit einer Ummantelung bzw. Schutzschicht (2), 
vorzugsweise mit schwer identisch nachbildbaren elektrischen und/oder 
elektromagnetischen Eigenschaften, zumindest teilweise versehen oder abgedeckt 

25 ist, 

- daft die Einheit (1) zumindest eine Aufgabeeinrichtung (11) umfaftt, mit der 
zumindest eine, vorzugsweise eine Mehrzahl von Signalaufgabestellen (P) an bzw. 
in der Ummantelung (2) mit definierten, elektrischen und/oder elektromagnetischen 
Signalen, vorzugsweise Strom- und/oder Spannungssignalen, beaufschlagbar ist, 

30 - daft die Einheit (1) zumindest eine Empfangseinrichtung (5) zur Ermittlung bzw. 

Messung zumindest einer Meftgrofte bzw. eines Meftwertes umfaftt, die bzw. der 
von den aufgegebenen Signalen an zumindest einer, vorzugsweise an einer 
Mehrzahl von an bzw. in der Ummantelung (2) liegenden Meftstellen (Q) 
hervorgerufen sind (ist), 

35 - und daft zumindest einer, vorzugsweise alle der ermittelten Meftwerte zur 

gegebenenfalls mathematischen Ermittlung einer fur die Unversehrtheit der 
Ummantelung (2) charakteristischen, von der Einheit (1) im Zuge ihrer Initialisierung 
ermittelten Signatur (S) verwendet ist bzw. sind. 
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1 19. Anordnung nach Anspruch 18, dadurch gekennzeichnet, daft in der Einheit (1) 
zumindest ein Teil der im Zuge der Initialisierung aufgegebenen Oaten und/oder 
Programme mit der bei der Initialisierung ermittelten Signatur verschlQsselt in einem 
Speicher (12) abgespeichert sind. 

5 

20. Anordnung nach Anspruch 18 oder 19, dadurch gekennzeichnet, daft die Einheit (1) 
eine Prtifeinheit zur Oberprufung einer jeweils vor Betriebsbeginn der Einheit (1) 
ermittelten Signatur bzw. zum Vergleich mit einer bei der Initialisierung ermittelten oder 
mit einer vor einer vorangehenden Inbetriebnahme ermittelten Signatur vorgesehen ist 

10 bzw. die Einheit (1) eine derartige Oberprufung vornimmt. 

21. Anordnung nach einem der Ansprtiche 18 bis 20, dadurch gekennzeichnet, daft die 
Einheit (1) zur neuerlichen Ermittlung der Signatur vor einer Betriebsaufnahme 
eingerichtet ist und diese neuerlich ermittelte Signatur zur Entschlusselung der 

15 gespeicherten Daten und/oder Programme heranzieht und/oder mit dieser neu 

ermittelten Signatur die wahrend des Betriebes erhaltenen Daten und/oder Programme 
verschlusselt abspeichert. 

22. Anordnung nach einem der Ansprtiche 18 bis 21, dadurch gekennzeichnet, daft der 
20 elektrische Widerstand der gegebenenfalls bezuglich ihrer elektrischen und/oder 

elektromagnetischen Eigenschaften inhomogen aufgebauten Ummantelung (2) 
zwischen dem eines Insolators und dem eines metallischen Leiters liegt. 

23. Anordnung nach einem der Ansprtiche 18 bis 22, dadurch gekennzeichnet, daft die 
25 Ummantelung (2) aus nicht bzw. nicht gut miteinander mischbaren Materialien 

aufgebaut ist und/oder aus zumindest zwei Materialien mit unterschiediichen 
elektrischen und/oder elektromagnetischen Eigenschaften und/oder zumindest in einer 
Dimension, insbesondere bezuglich ihrer Dicke, inhomogen aufgebaut und/oder aus 
mehreren Schichten unterschiedlicher Dicke und/oder unterschiediichen Materialien 
30 aufgebaut ist. 

24. Anordnung nach einem der Ansprtiche 18 bis 23, dadurch gekennzeichnet, daft die 
Signalaufgabestellen (P) und/oder die MeftsteJIen (Q) unregelmaftig uber die 
Ummantelung (2), insbesondere uber deren Innenseite, verteilt festgelegt sind. 

35 

25. Anordnung nach einem der Ansprtiche 18 bis 24, dadurch gekennzeichnet, daft die 
Signal-Aufgabeeinrichtung (11) zumindest eine zumindest eine Strom- und/oder 
Spannungsquelle mit zumindest einer der festgelegten Signalaufgabestellen (P) 
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1 verbindende Verteileinrichtung (19) umfaftt, die von dem in der Einheit (1) enthaltenen 

Mikroprozessor und/oder Rechner (13) steuerbar bzw. an diesen angeschlossen ist. 

26. Anordnung nach einem der Anspruche 18 bis 25, dadurch gekennzeichnet, daft in 
5 jeder Meftstelle (Q) ein Meftsensor angeordnet ist, der gegebenenfalls uber einen 

Analog/Digitalwandler (5) an den in der Einheit (1) enthaltenen Mikroprozessor 
und/oder Rechner (13) angeschlossen ist. 

27. Anordnung nach einem der Anspruche 18 bis 26, dadurch gekennzeichnet, daft die 
10 Einheit (1) zur Ermittlung der Temperatur der Ummantelung (2) einen Temperaturfuhler 

(6) umfaBt, dessen Signaiausgang gegebenenfalls uber einen Analog/Digitalwandler 
(5) an den Mikroprozessor und/oder Rechner (13) der Einheit (1) angeschlossen ist 

28. Anordnung nach einem der Anspruche 18 bis 27, dadurch gekennzeichnet, daft in dem 
15 Mikroprozessor und/oder dem Rechner (13) Speicherplatz zur Abspeicherung der initial 

enmittelten Signatur (S) und/oder fur fur einzelne Temperaturbereiche ermittelte 
Signaturwerte (S T ) und/oder fur Differenzwerte (SAT) zwischen den jeweiligen 
Signaturwerten (S T ) fur einzelne Temperaturbereiche und einer fur eine bestimmte 
Normal-Temperatur der Ummantelung (2) bei der Initialisierung ermittelte Norm- 
20 Signatur (Snorm). 

29. Anordnung nach Anspruch 28, dadurch gekennzeichnet, daft die Einheit (1) einen 
Differenzbildner aufweist oder zur Differenzbildung eingerichtet ist, urn bei der 
Initialisierung die Differenzen (AS) zwischen einer fur eine bestimmte Temperatur der 

25 Ummantelung (2) ermittelten Norm-Signatur (S N orm) ur >d den fur bestimmte 

Temperaturintervalle der Ummantelung (2) ermittelten Signaturen (S T ) zu berechnen. 

30. Anordnung nach einem der Anspruche 27 bis 29, dadurch gekennzeichnet, daft die 
Einheit (1) zur Ermittlung der Norm-Signatur (Snorm) einen Addierer aufweist Oder zum 

30 Addieren eingerichtet ist, urn die einer gemessenen Temperatur der Ummantelung (2) 

entsprechende gespeicherte Differenz-Signatur (AS) und die fur die vorherrschende 
Temperatur ermittelte Signatur (S T ) der Ummantelung (2) zu addieren. 

31. Anordnung nach einem der Anspruche 18 bis 30, dadurch gekennzeichnet, daft die 
35 Signalaufgabeeinrichtungen und/oder die Empfangseinrichtung(en) mit den 

Signalaufgabestellen (P) und den Meftstellen (Q) uber Leiterbahnen (14) in direktem 
Kontakt bzw. in direkter leitender Verbindung stehen. 
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1 32. Anordnung nach einem der Anspruche 18 bis 31. dadurch gekennzeichnet, daft von 
den Signalaufgabestellen (P) und/oder von den Meftstellen (Q) in die Ummantelung (2) 
unregelmaftig orientierte und/oder gestaltete Leiterbahnen (8) abgehen. 

5 33. Anordnung nach einem der Anspruche 18 bis 32, dadurch gekennzeichnet. dad die 
Ummantelung (2) direkt auf die zu schQtzende Flache(n) der Einheit (1) aufgebracht ist 
oder daft die Ummantelung (2) zumindest Teil der Wand (2 1 ) eines zu schQtzende 
Gegenstande (15) aufnehmenden Raumes (16) ist, in dem vorteilhafterweise auch die 
Einheit (1) selbst angeordnet ist. 

10 

34. Anordnung nach einem der Anspruche 18 bis 33, dadurch gekennzeichnet. daft 
zwischen der Ummantelung (2) und der Einheit (1) und/oder zwischen der 
Ummantelung (2) und einer diese abdeckenden Schicht, z. B. Kunststoffschicht. eine 
Zwischenschicht. insbesondere elektrische Isolierschicht, angeordnet ist. 

15 

35. Anordnung nach einem der Anspruche 18 bis 34, dadurch gekennzeichnet. daft in 
keinem Speicher der Einheit (1) die bei der Initialisierung ermittelte Signatur enthalten 
ist. 

20 36. Anordnung nach einem der Anspruche 18 bis 35, dadurch gekennzeichnet, daft die 
Anordnung Teil einer Chipkarte ist. 

37. Anordnung nach einem der Anspruche 18 bis 36, dadurch gekennzeichnet, daft der 
Chip einer Chipkarte. gegebenenfalls gemeinsam mit Ein- und Ausgabeeinheiten. 
25 zumindest auf einer Seite. vorzugsweise allseitig oder auf alien Seiten mit Ausnahme 

der Kontaktflachen von der Ummantelung (2) umgeben ist. wobei gegebenenfalls 
zwischen der Ummantelung und dem Kunststoffmaterial der Chipkarte zumindest eine 
elektrische Isolationsschicht angeordnet ist. 

30 



35 
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